AAA认证&&防火墙&&交换机

5895 字
29 分钟
AAA认证&&防火墙&&交换机

AAA认证&&防火墙&&交换机#

[TOC]


路由器远程登录#

image-20260122142816128
image-20260122142816128

  • Telnet 远程登录端口号是 ==23==
  • 我们这里用这个拓扑图,原理是一样的
  • 就是需要我们自己设置一下,各个路由器接口的IP地址
Terminal window
1.R1路由器
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip addr 10.1.1.254 24
# 配置接口的IP地址
[R1-GigabitEthernet0/0/0]dis this
# 进入到接口后配置相对应的IP地址
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 10.1.1.254 255.255.255.0
#
return
2.R2路由器
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R2
[R2]inter g0/0/0
[R2-GigabitEthernet0/0/0]ip addr 10.1.1.1 24
[R2-GigabitEthernet0/0/0]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 10.1.1.1 255.255.255.0
#
return
'这里都是路由器的基础设置'
<R1>display cu
# 查看当前设备的所有配置信息
[V200R003C00]
#
sysname R1
#
..................
interface GigabitEthernet0/0/0
ip address 10.1.1.254 255.255.255.0
#
return
-----------------------
# 测试设备之间的联通性
'路由器同在一个网段,中间用交换机进行了连接,怎么可能ping不同呢'
<R2>ping 10.1.1.254
PING 10.1.1.254: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.254: bytes=56 Sequence=1 ttl=255 time=150 ms
Reply from 10.1.1.254: bytes=56 Sequence=2 ttl=255 time=50 ms
Reply from 10.1.1.254: bytes=56 Sequence=3 ttl=255 time=40 ms
Reply from 10.1.1.254: bytes=56 Sequence=4 ttl=255 time=50 ms
Reply from 10.1.1.254: bytes=56 Sequence=5 ttl=255 time=50 ms
# 这里是网管(R2)去ping远程机房(R1)

passwd#

  • authentication-mode password:表示 ==仅用密码认证==(不验证用户名

✅ 核心特点:

  1. 不验证用户名( 系统根本不会提示你输入用户名
  2. 只验证密码:所有尝试通过 Telnet 登录设备的用户,只需输入一个预设的密码即可登录
  3. ==无需创建本地用户==(比如不用执行 local-user xxx 命令)
Terminal window
'实验目的,我们普通用户(R2)可以通过telnet登录机房服务器(R1)'
提问:我们这个telnet应该部署在哪台机器上?
当然是R1(远程服务器上面了)
1.R1远程服务器配置
<R1>sys
[R1]user-interface vty 0 4
vty:逻辑通道,或者叫做终端
0 4 具体代表什么?
0:第一个 VTY 线路编号(最小值)
4:最后一个 VTY 线路编号(最大值)
所以 vty 0 4 表示 同时最多允许 5 个远程用户并发登录(编号 0、1、2、3、4)
类比:就像一家餐厅有 5 个远程包间(VTY 0~4),只要有一个空着,新客人(远程用户)就能进来
[R1-ui-vty0-4]authentication-mode ?
aaa AAA authentication
password Authentication through the password of a user terminal interface
# 先来查看认证模式
'两种,aaa和password'
# 这里我们先介绍password认证模式
[R1-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
'这里我的密码设置的是:huawei'
# 就去之后,默认让你输入密码
# 最大长度是16
# 默认是cipher(加密的)
[R1-ui-vty0-4]dis this
[V200R003C00]
#
user-interface con 0
authentication-mode password
user-interface vty 0 4
authentication-mode password
set authentication password cipher %$%$mF_z"D[",E|_m`.9a)H@,.Az9!B2T|~Uy>;D;F-T
V,kC.A},%$%$
# 前面关键字cipher,后面是一群乱码
'如果是明文的simple,则后面将会显示明文的密码'
2.R2普通用户登录测试
<R2>telnet 10.1.1.254
Press CTRL_] to quit telnet mode
Trying 10.1.1.254 ...
Connected to 10.1.1.254 ...
Login authentication
Password:
# 输入密码后,R2(普通用户)就可以连接到R1(远程服务器了)
'telnet中的password认证模式中,只需要输入密码即可,不需要输入用户名'
<R1>
# 成功进入到R1
<R1>sys
^
Error: Unrecognized command found at '^' position.
提问:为什么会报错呢?
'因为我们在配置服务端的时候,并没有设置用户的权限,默认情况下是参观级别'
'也就是我们虽然能够telnet登录上去,但是没有权限,也就啥也干不了'
3.回到R1(远程服务器,重新进行配置)
<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]user-interface vty 0 4
[R1-ui-vty0-4]user privilege level 15
# 主要是这一条命令,把用户等级设置为15
[R1-ui-vty0-4]dis this
[V200R003C00]
#
user-interface vty 0 4
authentication-mode password
user privilege level 15
set authentication password cipher %$%$E-NGH^iHVSv:`IC6)1S-,7DDk\O,A{G,jCtLdF~i
y~B57DG,%$%$
#
4.再次回到R2普通用户进行测试
<R2>telnet 10.1.1.254
Press CTRL_] to quit telnet mode
Trying 10.1.1.254 ...
Connected to 10.1.1.254 ...
Login authentication
Password:
# 输入密码
<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]
'R2能够成功进入R1,并且能够sys进入系统视图'

缺点#

  1. 安全性较低

    弱加密存储,易破解

  2. 缺乏用户身份管理

    无用户区分,共用一个密码

  3. 权限控制能力弱

    所有用户拥有相同的权限

AAA认证#

  • 提供了 认证授权计费 三种安全功能

1️⃣**认证:**验证用户是否可获得网络访问权

2️⃣**授权:**授权用户可以使用哪些服务

3️⃣**计费:**记录用户使用网络资源的情况

image-20260122201034326
image-20260122201034326

Terminal window
'依旧是R1远程服务器,别人想要远程登录我的服务器,我要进行验证'
'所以,R1要进行认证,在R1上面进行部署aaa认证'
1.R1配置
<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
[R1-ui-vty0-4]local-user redhat password cipher 123 privilege level 15
^
Error: Unrecognized command found at '^' position.
# 这里我直接在user-interface vty 视图下输入 local-user....
# 然后就进行报错了!!!
'看报错信息 “未识别的命令” '
提问:为什么不能在user-interface vty视图下输入local-user
'local-user 是用来创建“用户账号”的,属于 AAA 系统的一部分'
'所以只能在 aaa 视图下配置'
[R1-ui-vty0-4]q
# 所以我们需要先退出user-interface vty视图
[R1]aaa
# 进入aaa视图
[R1-aaa]local-user redhat password cipher 123 privilege level 15
Info: Add a new user.
'用户名:redhat'
'密码:123' # 密码类型用的是cipher密文(不可见)
'用户等级:15'
[R1-aaa]local-user redhat service-type telnet
1)指定用户:redhat
2)指定分配的服务类型:telnet
'下面专门介绍常见的服务类型'
'当然也可以是ssh,terminal,http/https'
[R1-aaa]dis this
[V200R003C00]
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
local-user redhat password cipher %$%$vaW/0g-0VYY\B+@%MEjBLe7F%$%$
local-user redhat privilege level 15
local-user redhat service-type telnet
#
return
2.R2(普通用户)验证
<R2>telnet 10.1.1.254
Press CTRL_] to quit telnet mode
Trying 10.1.1.254 ...
Connected to 10.1.1.254 ...
Login authentication
# 成功登录上去了
Username:redhat # 用户名
Password: # 密码
<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]
'成功进入R1远程服务器,并且能够sys进入系统视图'
3.再次回到R1远程服务器
<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]user-interface vty 0 4
[R1-ui-vty0-4]display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass
Username : Unspecified
129 VTY 0 00:03:05 TEL 10.1.1.1 pass
Username : redhat
'在远程服务器R1中,进入到user-interface vty视图,还可以看到那些用户远程登录上去'

常见服务类型#

✅ 常见的 service-type 类型包括:

服务类型含义连接方式
telnet允许通过 Telnet 登录远程连接(明文协议,不安全)
ssh允许通过 SSH 登录远程连接(加密协议,安全)
terminal允许通过 Console 口或本地终端(如串口、Web 网管终端等)登录本地连接带外管理
http / https允许通过 Web 网管页面登录(部分设备支持)远程或本地(取决于访问方式)

注意:在华为设备中,terminal 通常指 非网络方式的本地终端接入,比如通过 Console 线连接的终端,或者某些场景下的本地 CLI(如通过 Web 界面打开的“终端”窗口)

连接形式 VS 是否加密#

service-type连接性质是否加密
telnet远程❌ 明文
ssh远程✅ 加密
terminal本地(Console 或本地终端)——(物理连接,无需网络加密)

📌 ==总结==

  • service-type 必须明确列出用户 允许 使用的登录方式

  • 安全建议 :禁用 Telnet ,只用 SSH + AAA

🔐 http VS https#

特性httphttps
全称超文本传输协议(HyperText Transfer Protocol)安全超文本传输协议(HTTP Secure)
是否加密❌ 明文传输✅ 使用 SSL/TLS 加密
默认端口80443
安全性低:数据可被窃听、篡改、冒充高:提供机密性、完整性、身份认证
浏览器显示地址栏无锁 / 显示“不安全”绿色锁图标(若证书有效)

HTTPS = HTTP + SSL/TLS ,即在 应用层传输层 之间加了一个安全加密层

串口连接#

image-20260122152317641
image-20260122152317641

Terminal window
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys SW1
# 进入系统视图后,改名
[SW1]user-interface console 0
# 进入console视图,并只开放了一个终端来访我
[SW1-ui-console0]authentication-mode aaa
# 在console视图中,更改认证模式为aaa
[SW1-ui-console0]q
# 只能在aaa视图下才能够创建用户
# 所以必须退出console视图
[SW1]aaa
# 进入aaa视图
[SW1-aaa]local-user redhat password cipher 123
Info: Add a new user.
'用户名:redhat'
'密码:123' #隐藏式的密码
[SW1-aaa]local-user redhat privilege level 15
# 修改用户等级为15
[SW1-aaa]local-user redhat service-type terminal
# 为指定用户redhat创建服务类型
'允许通过本地终端或者console口来连接'
[SW1-aaa]
# 退出到用户视图保存
<SW1>save
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
# y确认
Info: Please input the file name ( *.cfg, *.zip ) [vrpcfg.zip]:
Jan 22 2026 15:03:48-08:00 SW1 %%01CFM/4/SAVE(l)[50]:The user chose Y when decid
ing whether to save the configuration to the device.
Now saving the current configuration to the slot 0.
Save the configuration successfully.
# 成功保存

image-20260122152742944
image-20260122152742944

👻关闭 交换机 后,重新启动​

image-20260122152954642
image-20260122152954642

VRP操作系统基础#

VRP 操作系统使用一种类 Unix 的文件系统结构,但与 Linux 并不完全相同

华为设备的文件系统一般称为 Flash 文件系统,主存储介质是 flash:(相当于硬盘)

  • 设备启动后,默认根目录是 flash:/

Linux 的根目录为 /

命令功能类似 Linux 命令
pwd显示当前工作目录pwd
dir列出当前目录下的文件和子目录ls
cd <目录>切换目录cd
mkdir <目录名>创建目录mkdir
rmdir <目录名>删除空目录rmdir
delete /unreserved <文件名>删除文件(/unreserved 表示彻底删除,不进回收站)rm

⚠️ 注意:华为设备默认有“回收站”机制,用 delete file 不加 /unreserved 会把文件移到回收站(可用 undelete 恢复)要彻底删除需加 /unreserved

🍔 Windows 操作系统中 绕过回收站,直接永久删除 文件/文件夹的快捷键是 Shift + Delete

Terminal window
'以下操作均运行在< >用户视图中'
1.查看当前路径
<SW1>pwd
flash:
2.列出当前目录下的文件和子目录
<SW1>dir
Directory of flash:/
Idx Attr Size(Byte) Date Time FileName
0 drw- - Aug 06 2015 21:26:42 src
1 drw- - Jan 22 2026 14:57:30 compatible
2 -rw- 529 Jan 22 2026 15:03:56 vrpcfg.zip
32,004 KB total (31,968 KB free)
3.进入目录
<SW1>cd src
<SW1>pwd
flash:/src
4.返回上一级
<SW1>cd ..
<SW1>pwd
flash:
5.查看文件内容
more <文件名>
# 支持翻页,q退出
6.将文件从一个位置复制到另一个位置
copy <源> <目标> —— 复制文件
'和Linux中的cp命令类似'
7.将文件从一个位置移动到另一个位置,也可以理解为“重命名 + 移动”
move <源> <目标> —— 移动文件(重命名+移动)
'和Linux中的move命令类似'
8. 重启整个设备,类似于“关机再开机”
reboot —— 重启设备

内存/存储介质#

ROM#

(Read-Only Memory,只读存储器)

✅ 特点:

  • 非易失性:断电后数据不会丢失
  • 只读:不能修改其中保存的内容
  • 容量小

🔧 作用:

  • 存储 引导程序 ,用于设备上电时进行 硬件自检加载操作系统(如 VRP)
  • 如果 系统损坏 ,设备可从 ROM 启动到 恢复模式,用于修复或重装系统

📌 类似于 PC机 的 BIOS(也是恢复模式)


RAM#

(Random Access Memory,随机存取存储器)

✅ 特点:

  • 易失性:断电后内容全部丢失

  • 可读可写存储器

    读写速度快

  • 容量相对较大

🔧 作用:

  • 存储正在运行的操作系统(VRP)
  • 保存当前运行配置
  • 存放 路由表、ARP 表、MAC 地址表、会话状态等动态数据

📌 相当于电脑的“内存条”,是设备运行时的“工作台”


闪存#

(Flash Memory)

✅ 特点:

  • 非易失性:断电不丢数据
  • 可读可写可擦除
  • 速度比 RAM 慢,但比传统硬盘快(在嵌入式设备中常作为主存储)

🔧 作用:

  • 存储 操作系统镜像文件(如 VRP 软件)
  • 可保存多个系统版本(便于回滚)

📌 类似于电脑的“固态硬盘(SSD)”, 但专用于存系统和固件


NVRAM#

(Non-Volatile RAM,非易失性 RAM)

✅ 特点:

  • 非易失性:断电后配置不丢失
  • 可读可写存储器
  • 容量很小(通常几 KB 到几 MB)

🔧 作用:

  • 专门用于保存 启动配置(startup-config)备份配置文件
  • 设备重启时,系统从 NVRAM 读取配置并加载到 RAM

对比总结表:#

存储类型是否断电丢失可读写?主要用途类比
ROM❌ 不丢失一般只读启动引导程序(BootROM)BIOS
RAM✅ 丢失可读写运行系统、临时数据、当前配置内存条
Flash❌ 不丢失可读写存储操作系统(VRP)、软件镜像固态硬盘(SSD)
NVRAM❌ 不丢失可读写保存启动配置(startup-config)配置存储区

配置文件#

导出&导入#

✅ 核心结论:

在华为设备上,若要导出**“生效的完整配置”**

  1. 必须先执行 save 命令将当前 运行配置 保存到启动配置文件(vrpcfg.cfg)中

image-20260122164944469
image-20260122164944469

vrpcfg.zip 文件就是华为设备默认的 启动配置文件 ,它存储在 Flash 中,用于设备重启时加载系统配置

vrpcfg.zip 是一个压缩包,内部包含:

  • vrpcfg.cfg:实际的文本配置文件
  • 可能还有其他辅助文件(如版本信息、校验等),但核心是 .cfg
  1. 然后再从 Flash (闪存)中导出该文件

    否则,直接导出的配置文件 可能不包含你刚刚修改但未保存的配置

image-20260122165447940
image-20260122165447940

image-20260122165517034
image-20260122165517034

image-20260122165816386
image-20260122165816386

  • 对应保存的配置文件

image-20260122165631434
image-20260122165631434

❣️ 关机的状态 下导入配置文件

数据传输#

类型传输方向能否同时收发典型应用是否需要冲突检测
单工单向广播
半双工双向,交替对讲机、Hub 以太网是(如 CSMA/CD
全双工双向,同时电话、Switch 以太网

CSMA/CD 是一种用于早期以太网(特别是共享介质的局域网)中的 介质访问控制(MAC)协议

🏇基本原理:CSMA/CD 的核心思想是 先听后发,边发边听,冲突停发,随机重发

🏭具体步骤如下:

  • 载波监听

    在发送数据前,节点会先侦听信道是否空闲

    如果信道正在被其他设备使用(即检测到载波信号),则等待一段时间再尝试

  • 多路访问

    所有节点共享同一个通信介质(如 同轴电缆集线器 连接的网络)

    可以在信道空闲时尝试发送数据。

  • 冲突检测

    由于信号传播存在延迟,两个节点可能几乎同时开始发送数据,导致冲突(碰撞)

    CSMA/CD 要求节点在发送数据的同时 持续监听信道

    一旦检测到冲突,立即停止发送,并发送一个拥塞信号,通知其他节点发生了冲突

  • 退避与重传

    发生冲突后,每个节点会等待一个 随机时间 后再重新尝试发送

    这样可以减少再次冲突的概率

♥️ 重点如下

  • CSMA/CD 运行模式是: 半双工

  • 交换机 运行模式是: 全双工

交换机#

image-20260122172821557
image-20260122172821557

MAC地址#

  • 也称为 物理地址硬件地址 ,每个 MAC 地址在全球是唯一的
  • 它用于在 数据链路层 识别网络设备

🔩格式:

通常由 6 个字节( 48位 )(1字节=8位)组成,用 十六 进制表示

  • 1 字节(Byte) = 8 位(bit)
部分位数说明
OUI(Organizationally Unique Identifier)前 24 位(3 字节)由 IEEE 分配给厂商,标识设备制造商
NIC Specific(网卡标识)后 24 位(3 字节)由厂商自行分配,保证全球唯一

例如: 00:1B:44:11:3A:B7

  • 00:1B:44 是 OUI(代表某厂商,如 Dell)

    可通过 IEEE OUI 查询工具 查询厂商

  • 11:3A 是该厂商分配的唯一编号

  • 8421,一个16进制的数代表4位

  • 一共48位,可以由 12十六进制数 进行表示

常见格式如:00:1A:2B:3C:4D:5E 或 00-1A-2B-3C-4D-5E

  • 001E-10DD-DD02( 在实验中用4位

第 8 位#

即第一个字节的最低有效位 LSB 的特殊含义

MAC 地址的 第一个字节( 第 8 位) 中,第 8 位( 最右边一位 ) 有特殊用途:

第 8 位(bit 0)含义
0单播地址(Unicast) —— 发送给单一设备
1组播地址(Multicast) —— 发送给一组设备

例如:第一个字节为 01(十六进制) = 0000 0001(二进制),则 bit 0 = 1 → 组播


ipconfig /all Windows查看它的物理地址

image-20260122173449257
image-20260122173449257

基本功能#

image-20260122173546953
image-20260122173546953

  • 交换机工作在 数据链路层 三层交换机 就是具有了 路由功能 的交换机

  • 交换机里面有一个 MAC地址表 ,没有ARP缓存表

    ARP缓存表 存的是IP地址和MAC地址的映射

    • 记录的是“哪个 MAC 地址出现在哪个端口”
    • 交换机设备具有 MAC地址学习 功能
    • MAC地址端口 之间的映射,用于转发 数据帧

泛洪(Flooding)#

  • 将某个接口收到的数据流从 除该接口之外所有接口 发送出去

主要过程如下:

  1. 交换机根据收到数据帧中的 源MAC地址 建立该地址同 交换机端口 的映射,并将其写入MAC地址表中

  2. 交换机将数据帧中的 目的MAC地址 同已建立的 MAC地址表 进行比较,以决定由哪个端口进行转发

  3. 如数据帧中的 目的MAC地址 不在 MAC地址表 中,则向 所有端口 转发

    这一过程称为 泛洪(flood)

  • 当主机 A 发送一个 ARP 请求(广播帧),交换机会把它 泛洪 到所有端口(除了接收端口)

    这个请求包含 源IP地址MAC地址 ,还有 目的IP地址 ,询问对应的MAC地址

  • 主机 B 收到后,发现是找自己的 IP,就回一个 ARP 应答(单播帧)

  • 交换机看到这个帧的 源MAC ,就学习到 B 的 MAC 在哪个端口

    这是 MAC表,不是 ARP表

🍔什么是 广播风暴

广播风暴 是指网络中,大量 广播帧 被无限制地重复转发,导致带宽耗尽、设备 CPU 过载,甚至 网络瘫痪 的现象

防火墙&云综合实验#

image-20260122192016894
image-20260122192016894

创建网卡#

image-20260122175240785
image-20260122175240785

image-20260122175401901
image-20260122175401901

image-20260122175407251
image-20260122175407251

image-20260122175553123
image-20260122175553123

image-20260122192204506
image-20260122192204506

#

image-20260122181911310
image-20260122181911310

  • 刚开始,打开这个 并没有识别到这张网卡,我是重新启动电脑后,才识别到了

image-20260122191808885
image-20260122191808885

  • 至此 的配置结束

防火墙#

image-20260122192344487
image-20260122192344487

image-20260122192514921
image-20260122192514921

  • 进去的时候要导一个包
Terminal window
Username:admin
Password:
'默认用户名admin'
'默认密码:Admin@123'
The password needs to be changed. Change now? [Y/N]: y
# y修改密码
Please enter old password:
Please enter new password:
Please confirm new password:
# 重复输入相同的密码
Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *'
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]un info en
Info: Saving log files...
Info: Information center is disabled.
# 先关闭推送信息
[USG6000V1]interface g0/0/0
# 进入到管理口g0/0/0
[USG6000V1-GigabitEthernet0/0/0]dis this
2026-01-22 10:38:59.340
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.0.1 255.255.255.0
# 里面默认有一个IP地址
alias GE0/METH
#
return
[USG6000V1-GigabitEthernet0/0/0]undo ip add
# 把里面的默认IP地址删除了
[USG6000V1-GigabitEthernet0/0/0]dis this
2026-01-22 10:39:07.420
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
# 删除后,就没有了
alias GE0/METH
#
return
[USG6000V1-GigabitEthernet0/0/0]ip add 192.168.112.128 24
# 这个ip地址得和我们新添加的网卡,处于同一网段
[USG6000V1-GigabitEthernet0/0/0]dis this
2026-01-22 10:39:31.240
#
interface GigabitEthernet0/0/0
undo shutdown
ip binding vpn-instance default
ip address 192.168.112.128 255.255.255.0
# 成功配置号IP地址
alias GE0/METH
#
return
[USG6000V1-GigabitEthernet0/0/0]service-manage https permit
[USG6000V1-GigabitEthernet0/0/0]service-manage http permit
'开启http和https服务'
# 后面我们要访问防火墙的web页面

image-20260122193425755
image-20260122193425755

image-20260122193507470
image-20260122193507470

E口vsF口vsG口#

  • 物理接口传输速率 的区别
接口类型全称中文名默认速率常见命名(eNSP中)是否常见
E口Ethernet以太网口10 MbpsEthernet0/0/1E0/0/1已基本淘汰,仅在老旧设备或教学模拟中出现
F口FastEthernet快速以太网口100 MbpsFastEthernet0/0/1F0/0/1小型设备仍有使用
G口GigabitEthernet千兆以太网口1000 Mbps(1 Gbps)GigabitEthernet0/0/1G0/0/1现代设备主流接口

结论

  • G口比E口快100倍(1G vs 10M),实际部署中E口几乎不用
  • 华为eNSP中 ,二层交换机(如S3700)可能同时有 E口(教学用途)和G口(上联口)
  • 路由器(如AR2220)通常只配G口 ,因为要承担 高速转发广域互联

✅“E口”本身不一定是10Mbps,它指的是以太网接口,==支持多种速率== (如 10/100/1000 Mbps)

这个 接口 的实际工作速率取决于 两端设备的能力 以及 是否开启自动协商

❤️ 这里重点在于,E口一般工作在二层及以下,G口一般在三层工作

联系#

虽然 接口类型 不同,但它们都遵循 IEEE 802.3以太网标准 ,可以互相连接

  • 交换机G口 ↔ 路由器G口:最常见,千兆互联,用于上联或服务器接入

  • 交换机E口 ↔ 路由器G口:理论上可以(自协商),但因E口仅10M,会成为瓶颈,不推荐

💡 实践建议: 在eNSP实验中,统一使用G口互联(如 G0/0/1G0/0/0),避免速率不匹配问题

小结#

维度交换机(二层)路由器
典型端口可能含 E/F/G 口(E口多为教学)几乎全是 G 口(高速需求)
工作层次数据链路层(L2)网络层(L3)
转发依据MAC 地址IP 地址
互联目的同一网段内通信不同网段间通信
速率要求接入层可百兆,上联需千兆通常千兆起步,保障路由性能

一句话记住核心

  • 交换机 管“局域网内怎么发”(MAC)

  • 路由器 管“跨网络怎么走”(IP)

G口是现代网络的通用高速接口,E口已是历史遗迹

以太网帧格式#

image-20260122195928473
image-20260122195928473

以太网帧属于 数据链路层(MAC层) 的封装单位,其结构如下:

[前导码] + [帧开始定界符] + [目的MAC] + [源MAC] + [类型] + [数据] + [FCS]

⚠️ 注意:前导码帧开始定界符 不计入“帧”本身,而是用于物理层同步

各字段详解#

字段长度说明
前导码(Preamble)7字节101010... 组成,用于接收方同步时钟,不包含在帧头中
帧开始定界符(SFD)1字节固定为 11111110,表示帧开始
目的MAC地址6字节接收设备的硬件地址(MAC),广播为 FF:FF:FF:FF:FF
源MAC地址6字节发送设备的MAC地址
类型(Type)2字节表示上层协议类型: • 0x0800 → IPv4 • 0x0806 → ARP • 0x86DD → IPv6
数据(Data)46 ~ 1500 字节封装上层协议数据(如IP包) • 最小46字节:若不足则填充(Padding) • 最大1500字节:即 MTU = 1500B
FCS(帧校验序列)4字节CRC校验值,用于检测传输错误

IEEE 802.3 vs Ethernet II#

特性IEEE 802.3(原始)Ethernet II(常用)
类型字段用“长度”表示用“类型”表示
是否支持被淘汰广泛使用
识别方式长度字段 < 1500 → 为长度;≥1500 → 为类型始终是类型字段
  • 注意识别区分的方法,大于还是小于 1500

✅ 实际中我们看到的是 Ethernet II 格式,也就是上面这种图

文章分享

如果这篇文章对你有帮助,欢迎分享给更多人!

AAA认证&&防火墙&&交换机
https://www.kpyun.fun/posts/network/network03/
作者
久棹
发布于
2026-01-27
许可协议
CC BY-NC-SA 4.0
Profile Image of the Author
久棹
只要胆子大,天天寒暑假!
公告
欢迎来到久棹的技术小站!本站专注 Linux 运维学习笔记分享,如有问题欢迎交流探讨 🎉
分类
标签
站点统计
文章
98
分类
11
标签
203
总字数
244,453
运行时长
0
最后活动
0 天前
站点信息
构建平台
Local
博客版本
Firefly v6.13.5
文章许可
CC BY-NC-SA 4.0

文章目录